NAS در بحران

يك مطالعه روي محصولات NAS چند شركت معتبر نشان مي‌دهد که آن‌ها معمولاً آسيب‌پذيرتر از روترهاي خانگي‌ای هستند كه به عنوان دستگاه‌هايي با ضعف‌هاي امنيتي زياد شناخته مي‌شوند. جاكوب هلكامب، تحليل‌گر امنيتي با تحقيق روي 10 دستگاه ذخيره‌ساز معروف بازار از برندهاي گوناگون، متوجه شده است که روي تمام اين محصولات، چندين شكاف امنيتي وجود دارد.

هلكامب مي‌گويد: «يك دستگاه به معناي واقعي وجود ندارد كه دربردارنده اين آسيب‌پذيري‌ها نباشد.»
وي كه یافته های خود را در كنفرانس بلک هت 2014 ارائه مي‌داد، گفت: «تقريباً 50 درصد اين دستگاه‌ها از نوعي احرازهويت استفاده مي‌كنند كه به راحتي دور زده خواهد شد و به نوعي احرازهويت ندارند.» همچنین او مي‌گويد که سازمان‌هاي امنيت كامپيوتري روي اين موضوع حساس شده‌اند و تحقيقات خود را آغاز كردند و تا پايان سال، گزارش‌هايش منتشر مي‌شود كه حتماً شامل شناسايي نقاط ضعف بيش‌تري است. اين موضوع ثابت مي‌كند ذخيره‌سازهاي تحت شبكه خطرناك‌تر و آسيب‌پذيرتر از روترهاي بي‌سيم خانگي هستند. هلكامب در سال گذشته رهبري مطالعه مشابهي را برعهده داشت كه در نتيجه آن 50 آسيب‌پذيري روي روترهاي رده خانگي/اداري كوچك شناخته شد. در مطالعه جديد هلكامب، آسيب‌پذيري‌هاي كشف شده روي دستگاه‌هاي NAS به مراتب خطرناك‌تر هستند و نگراني‌هاي بيش تري را نسبت به روترها برمي‌انگيزند.

برخي از آسيب‌هاي شناسايي شده تزريق دستور (Injection)؛ درخواست‌هاي جعلي cross-site، سرريز بافر، افشاي اطلاعات، حساب‌هاي كاربري با دروازه پشتي(Backdoor)، احرازهويت‌هاي قابل دورزدن و ضعيف، مديريت نشست ضعيف و پيمايش دايركتوري‌ها هستند. برخي از اين نقاط ضعف مي‌توانند با يكديگر تركيب و سپس به كار گرفته شوند كه در نهايت به دسترسي‌هاي ريشه و اجراي دستورات در بالاترين سطح سيستم منجر مي‌شوند. آسيب‌پذيري‌هاي NAS جنبه‌هاي  گوناگوني دارند. يك هكر با نفوذ به يك روتر بي‌سيم، مي‌تواند يك شبكه بي‌سيم را دستكاري كند، اما نفوذ به يك NAS منجر به لو رفتن اطلاعات حساس ذخيره‌شده ‌مي‌شود. با وجود این كه NAS به روتر متصل مي‌شود، اما لزوماً نفوذ به NAS از طريق هك روتر نيست، خرابكاران مي‌توانند مستقيماً NAS را هدف قرار دهند. قرار است در آينده گزارش‌هاي بيش‌تري درباره اين آسيب‌پذيري‌ها منتشر و مذاكره با سازندگان اين سخت‌افزارها براي بهبود امنيت آن‌ها آغاز شود.

منبع : ماهنامه شبکه